Joel Indra

**Nome do Software Vulnerável e Versões Afetadas** Versões do Smart Forms até a 2.6.98 (inclusive) **Descrição** O problema está relacionado ao Cross-Site Scripting Armazenado via configurações de administração, devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com permissões de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. O problema afeta apenas instalações multissite e instalações onde o unfiltered html foi desabilitado. **Recomendações** Para versões até a 2.6.98 (inclusive), atualize para uma versão que inclua as correções necessárias de sanitização de entrada e escape de saída para prevenir ataques de Cross-Site Scripting Armazenado. Como solução temporária, considere restringir o acesso às configurações de administração para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Plugin Survey Maker para WordPress versões até, e incluindo, 5.1.3.3 **Descrição** A questão está relacionada ao Cross-Site Scripting Armazenado via o parâmetro `ays sections[5][questions][8][title]` devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada. A questão afeta apenas instalações multisite e instalações onde o `unfiltered html` foi desativado. **Recomendações** Para versões até, e incluindo, 5.1.3.3, atualize para uma versão posterior à 5.1.3.3 para resolver a questão. Como solução temporária, considere restringir o acesso ao parâmetro `ays sections[5][questions][8][title]` para minimizar o risco de exploração. Além disso, garanta que o `unfiltered html` esteja ativado e restrinja o acesso de nível de administrador apenas a usuários confiáveis.

Nome do software vulnerável e versões afetadas: The Form Maker da 10Web – plugin para WordPress “Mobile-Friendly Drag & Drop Contact Form Builder” para versões até a 1.15.27, inclusive Descrição: O problema está relacionado a um ataque de Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador ou superior injetem scripts web arbitrários em páginas, os quais serão executados sempre que um usuário acessar uma página infectada. Recomendações: Para versões até a 1.15.27, inclusive, atualize para uma versão superior à 1.15.27 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Ninja Forms versões 3.8.11 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS). Isso permite ataques de XSS armazenado. **Recomendações** Para as versões 3.8.11 e anteriores, atualize para uma versão posterior à 3.8.11 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “Contact Form Plugin” da Fluent Forms para o plugin “Quiz, Survey, and Drag & Drop WP Form Builder” para versões do WordPress até a 5.1.19, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador ou superior injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até e incluindo a 5.1.19, atualize para uma versão superior à 5.1.19 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “Contact Form Plugin” da Fluent Forms para o plugin “Quiz, Survey, and Drag & Drop WP Form Builder” para versões do WordPress até a 5.1.19, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador ou superior injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até e incluindo a 5.1.19, atualize para uma versão superior à 5.1.19 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** O plugin “Contact Form Plugin” da Fluent Forms para o plugin “Quiz, Survey, and Drag & Drop WP Form Builder” para versões do WordPress até a 5.1.19, inclusive **Descrição** O problema está relacionado a Stored Cross-Site Scripting devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador ou superior injetem scripts web arbitrários nas páginas, os quais serão executados sempre que um usuário acessar uma página infectada. **Recomendações** Para versões até e incluindo a 5.1.19, atualize para uma versão superior à 5.1.19 para resolver o problema. Como solução temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Form Maker da 10Web, versões 1.15.23 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite o XSS armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, o que pode levar a acesso não autorizado ou roubo de dados. **Recomendações** Para as versões 1.15.23 e anteriores, atualize para uma versão posterior à 1.15.23 para resolver o problema. Como solução temporária, considere restringir a entrada de dados do usuário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** WP Darko Top Bar versões 3.0.5 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting, o que permite XSS armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, afetando potencialmente os usuários que o visitam. **Recomendações** Para as versões 3.0.5 e anteriores do WP Darko Top Bar, atualize para uma versão posterior à 3.0.5 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Contact Forms by Cimatti, versões 1.8.0 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração da página da web, também conhecida como Cross-site Scripting. Isso permite a ocorrência de Stored XSS. **Recomendações** Para as versões 1.8.0 e anteriores, atualize para uma versão que contenha uma correção para este problema, pois a versão atual está afetada pela vulnerabilidade Stored XSS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** WPFront Notification Bar, versões 3.3.2 e anteriores **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração de páginas da Web, também conhecida como Cross-site Scripting (XSS), o que permite a execução de XSS armazenado. Isso significa que um invasor pode injetar scripts maliciosos no site, o que pode levar a acesso não autorizado ou outros problemas de segurança. **Recomendações** Para as versões 3.3.2 e anteriores, atualize para uma versão posterior à 3.3.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Survey Maker até a 4.0.5 **Descrição** O problema está relacionado à neutralização inadequada de entradas durante a geração da página da web, o que permite a execução de scripts entre sites (XSS) armazenados. Isso significa que um invasor pode injetar scripts maliciosos na página da web, o que pode levar a ações não autorizadas ou ao roubo de dados. **Recomendações** Para versões até a 4.0.5, atualize para uma versão posterior à 4.0.5 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para este problema específico.